一组研究人员在Android、iOS和Windows操作系统中发现了一个漏洞,可能允许恶意软件窃取个人信息。研究人员发现,七分之六的流行应用程序可能被黑客入侵,成功率高达92%。
来自加州大学河滨分校伯恩斯工程学院的研究人员和密歇根大学的已经测试了它在一个Android手机,但是团队认为该方法可以用在所有三个操作系统,因为所有三个共享一个相似的特点:移动设备应用程序可以访问所有的共享内存。
研究人员展示了一款运行在Android智能手机上的恶意软件,该软件能够窃取用户的登录信息、信用卡号码,甚至用受害者的智能手机摄像头拍摄的敏感照片。
加州大学河滨分校(UC Riverside)副教授钱志云(音译)表示:“人们一直认为,这些应用程序不会轻易相互干扰。”“我们的研究表明,这种假设是不正确的,一个应用程序实际上会对另一个应用程序产生重大影响,并给用户带来有害后果。”
研究人员在7个流行的应用程序上测试了这种方法。他们轻易破解的应用程序包括Gmail、大通银行(CHASE Bank)、Hotels.com和H&R Block。亚马逊是他们测试的唯一一款很难渗透的应用,成功率高达48%。该团队表示,这很可能是由于亚马逊在其应用程序中使用的UI模型。
研究人员在论文中写道:“亚马逊应用的案例表明,如果某些特征不够清晰,我们的推断方法可能就不能很好地工作,尤其是像转换模型和网络事件特征这样的主要贡献者。”
该团队将在8月23日于圣地亚哥举行的USENIX安全研讨会上发表论文,题为“在没有实际看到的情况下窥视你的应用:UI状态推断和新型Android攻击”(PDF)。下面是一些视频短片,让我们看看这些攻击是如何发生的:
去年,网络攻击的数量大幅增加。雅虎(Yahoo)和谷歌最近联手创建无间谍电子邮件系统,使黑客不可能扫描用户的信息。最近,互联网巨头们强制要求用户提供电话号码来创建新的电子邮件id。